Дисциплина - Кибербезопасность предприятия
Пронякова О.М.
Российский университет дружбы народов, Москва, Россия
30 сентября 2025
Детектирование SQL-инъекции. Сетевой сенсор ViPNet IDS NS детектирует события сканирования веб-сервера на предмет SQL-инъекций, использование определенного типа инъекции (Blind SQL-Injection), а также загрузку вредоносного файла и выставление права доступа на выполнение. Заходим на ViPNet IDS NS. (рис. 1).
Нажимаем «События» и выставляем «За последние 24 часа». Ищем SQL-инъекции (как в методички), начиная просмотр по времени чуть ранее нашей атаки. (рис. 2).
Создаем карточку инцидента по SQL-инъекции (рис. 3).
У нас получилось 2 инцидента по SQL-инъекции (рис. 4).
Далее заходим на удаленный рабочий стол (рис. 5).
На узле Web Server PHP находится уязвимый веб-сервис на 80 порту. Нарушитель использует данную уязвимость для загрузки и для выполнения php reverse shell. Используя уязвимый параметр id, нарушитель успешно загружает вредоносный файл на веб-сервер. Решение: известно, что $id является уязвимым параметром, следует проверять тип данного параметра. Требуется найти место кода, где данный параметр считывается из GET запроса. Заходим на узел Web Server PHP (рис. 6).
Заходим не как user, а под root. Вводим следующие команды (рис. 7).
Считывание параметра сайта происходит в функции actionView() в файле NewsController.php (рис. 8).
Для проверки типа $id используется функция is_numeric, которая возвращает True в случае, если $id – число, иначе – False. В случае успешной проверки параметр $id будет передаваться в запрос, иначе – запрос будет статичным и независимым от $id (рис. 9).
После внесения изменений в файл конфигурации и проверки значения параметра $id уязвимость SQL-инъекции успешно устранена. Последствие Web portal meterpreter: нарушитель устанавливает shell сессию с веб-порталом PHP. Для обнаружения последствия необходимо проверить сокеты уязвимой машины при помощи утилиты ss с ключами –tp. Для устранения необходимо воспользоваться командой ss с правами привилегированного пользователя, используя ключ –K и соответствующий адрес, порт для завершения сессии с нарушителем: sudo ss -K dst HACKER_IP dport = HACKER_PORT. (рис. 10).
В результате выполнения команды сессия с нарушителем завершена, последствие Web portal meterpreter успешно устранено. (рис. 11).
С помощью ViPNet IDS NS в сетевом трафике обнаруживаются множественные попытки подключения к хосту AD&DNS (рис. 12).
Создаем карточку инцидента по «Полный перебор паролей» (рис. 13).
На узле MS Active Directory установлен слабый пароль к учетной записи администратора, что позволяет нарушителю перебирать пароль. В журнале безопасности Windows и логи подключений нарушителя на узел Active Directory по RDP мы вывели все записи с исключением кода события 4720. Этот код там присутствует, так как количество событий уменьшилось, по сравнению со всеми выведенными результатами (рис. 14).
Решение: изменить пароль к учетной записи администратора на более сложный, не содержащийся в словарях. Заходим в удаленный рабочий стол как администратор. Меняем пароль администратора на узле MS Active Directory командой «net user Administrator *». В результате изменения ненадежного пароля уязвимость успешно устранена (рис. 15).
Последствие: AD User Добавление нового привилегированного пользователя можно отследить с помощью аудита событий входа в учетную запись Windows security, где появится событие с ID 4720. Переходим в Event Viewer и в Windows Logs – Security, затем применяем фильтр на логи. Для удаления пользователя необходимо зайти в Administrative Tools – Active Directory Users and computers. Затем во вкладке Users находим и удаляем нового привилегированного пользователя с именем «Hacked» (рис. 16).
В результате выполнения вышеупомянутых действий привилегированный пользователь удален, последствие AD User успешно устранено (рис. 17).
Один из способов проверки состояния защиты в реальном времени Windows Defender – в Powershell ввести команду Get-MpPreference и проверить значение параметра DisableRealtimeMonitoring. Если значение – True, то защита в реальном времени выключена. На рисунке изображено значение «true» параметра DisableRealtimeMonitoring, что означает отключенную защиту антивируса на узле (рис. 18).
Создаем карточку инцидента по «Отключенная защита антивируса» (рис. 19).
Решение: на узле Administrator Workstation удаляем запись в реестре через консоль, используя команду: REG DELETE (рис. 20).
«HKLMDefender» /v DisableAntiSpyware. Подтвердить действие, далее в Windows Defender перезапускаем Virus & Threat Protection (рис. 21).
Включаем Real-time Protection (рис. 22).
После удаления записи реестра и включения защиты антивирусной программы Microsoft Defender необходимо перезагрузить Windows (рис. 23).
Последствие: Admin meterpreter Установленную сессию с нарушителем можно обнаружить при помощи утилиты netstat с ключами –ano (рис. 24).
Для устранения необходимо завершить сессию с машиной нарушителя. Например, при помощи команды taskkill /f /pid. (рис. 25).
В результате выполнения команды сессия с машиной нарушителя завершена, последствие Admin meterpreter успешно устранено (рис. 25).
В ходе данной лабораторной работы мы смогли устранить действия нарушителя «Защита контроллера домена предприятия», а так же выполнить последствия к каждой уязвимости.